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Abstract of WO02067108 

According to a method for conducting modular 
multiplication of a multiplicand (C) with a 
multiplier (M) while using a module (N), whereby 
the multiplicand, the multiplier and the module 
are polynomials of a variable, a multiplication 
forecast method (210) is executed in order to 
obtain a multiplication shift value (s>z<). An 
intermediate result polynomial (Z) is shifted (214) 
leftward by the number of places of the 
multiplication shift value (s>z<) in order to obtain 
a shifted intermediate result polynomial (Z 1 ). In 
addition, a reduction forecast method (212) is 
executed in order to obtain a reduction shift value 
(s>N<), whereby the reduction shift value is equal 
to the difference of the degree of the shifted 
intermediate result polynomial (Z 1 ) and of the 
degree of the module polynomial (N). The 
module polynomial is shifted by a number of 
places equal to the reduction shift value (216) in 
order to obtain a shifted module polynomial. In a 
three-operand addition (218), the shifted 
intermediate result polynomial (Z') and the 
multiplicand (C) are added, and the shifted 
module polynomial (N 1 ) is subtracted in order to 
obtain an updated intermediate result polynomial 
(Z). By iteratively executing (226) the above- 
mentioned steps, the modular multiplication is 
gradually carried out until all the powers of the 
multiplier polynomial are processed. A transfer- 
interrupt function makes it possible to carry out 
both a Z/NZ arithmetic as well as a GF(2?n>) 
arithmetic on a single long number arithmetic- 
logic unit. 
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(57) Abstract: According to a method for conducting 
modular multiplication of a multiplicand (C) with a 
multiplier (M) while using a module (N), whereby 
the multiplicand, the multiplier and the module are 
polynomials of a variable, a multiplication forecast 
method (210) is executed in order to obtain a 
multiplication shift value (sj. An intermediate result 
polynomial (Z) is shifted (214) leftward by the number 
of places of the multiplication shift value (sj in order to 
obtain a shifted intermediate result polynomial (Z*). In 
addition, a reduction forecast method (212) is executed 
in order to obtain a reduction shift value (s N ), whereby 
the reduction shift value is equal to the difference of 
the degree of the shifted intermediate result polynomial 
(Z*) and of the degree of the module polynomial (N). 
The module polynomial is shifted by a number of places 
equal to the reduction shift value (216) in order to obtain 
a shifted module polynomial. In a three-operand addition 
(218), the shifted intermediate result polynomial (Z*) 
and the multiplicand (C) are added, and the shifted 
module polynomial (N*) is subtracted in order to obtain 
an updated intermediate result polynomial (Z). By 
iteratively executing (226) the above-mentioned steps, 
the modular multiplication is gradually carried out until 
all the powers of the multiplier polynomial are processed. 
A transfer-interrupt function makes it possible to carry 
out both a Z/NZ arithmetic as well as a GF(2 n ) arithmetic 
on a single long number arithmetic-logic unit.' 
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(57) Zusammenfassung: Verfahren und Vorrichtung zum modularen Multiplizieren und Rechenwerk zum modularen Multiplizie- 
ren Bei einem Verfahren zum modularen Multiplizieren eines Multi-pHkanden (C) mit einem Multiplikator (M) unter Verwendung 
eiries Moduls (N), wobei der Multiplikand, der Multiplikator und der Modul Polynome einer Variablen sind, wird ein Multi-plikati- 
ons-Vorausschau-Verfahren (21D), um einen Multiplika-tions-Verschiebungswert (sZ) zu erhalten, ausgefuhrt. Ein Zwischenergeb- 
nis-Polynom (Z) wird um die Anzahl von Stellen des Multiplikations-Verschiebungs-Werts (sZ) nach links ver-schoben (214), um 
ein verschobenes Zwischenergebnis-Polynom (Z') zu erhalten. Dariiber hinaus wird ein Reduktions-Vorausschau-Verfahren (212), 
um einen Reduktions-Verschiebungswert (sN) zu erhalten, ausgefuhrt, wobei der Re-duktions-Verschiebungswert gleich der Diffe- 
renz des Grads des yerschobenen Zwischenergebnis-Polynoms (Z*) und des Grads des Modul -Pol ynoms (N) ist. Hierauf wird das 
Modul-Polynom um ei-ne Anzahl von Stellen gleich dem Reduktions-Verschiebungswert verschoben (216), um ein verschobenes 
Modul-PQlynom zu erhal-ten. In einer Drei-Operanden- Addition (218) werden das ver-schobene Zwischenergebnis-Polynom (Z*) 
und der Multiplikand (C) summiert, und das verschobene Modul-Polynom (N') wird subtrahiert, um ein aktualisiertes Zwischenerr 
gebnis-Polynom (Z) zu erhalten. Durch iteratives Ausfuhren (226) der vorste-henden Schritte wird die mbdulare Multiplikation nach 
. und nach abgearbeitet, bis samtliche Potenzen des Multiplikator-Polynoms verarbeitet sind. Durch eine Obertrag-Abschalt-Funktion 
ist es moglich, sowohl eine Z/NZ-Arithmetik als auch eine GF(2n)-Arithmetik auf einem einzigen Langzahl -Rechenwerk aiiszufuh- 
ren. 
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Beschreibung 

Verf ahren und Vorrichtung zum modularen Multiplizieren und 
Rechenwerk zum modularen Multiplizieren 

Die yorliegende Erfindung bezieht sich auf Verf ahren und Vor- 
richtungen zum Durchfuhren einer modularen Multiplication und 
z. B. auf die modulare Multiplication fur elliptische Kurven 
iiber GF(2 n ) . . 

Die Kryptographie ist eine der wesentlichen Anwendungen fur 
die modulare Arithmetik. Abhangig von der Gestalt , des Moduls 
N werden grunds&tzlich zwei Kryptographiemethoden unterschie- 
den. 1st der Modul eine Ganzzahl, so wird von einer Z/NZ- 
Arithmetik gesprochen. Der Parameter N steht fur eine Prim- ■ 
zahl oder fur zusammengesetzte Primzahlen. Der Parameter Z 
steht fur ganze Zahleri. Ein Beispiel fur den Fall, bei dem 
der Modul aus zwei Primzahlen zusaramengesetzt ist, ist die 
RSA-Gleichung: 

C = M E mod(N) . .." 

Hierbei ist, wie es bekannt ist, C eine verschlusselte Nach- 
richt, M ist eine nicht-verschlusselte Nachricht, E ist der 
offentliche Schlussel, und N ist der Modul. 

Im Gegensatz dazu ist die GF (2 n ) -Arithmetik dadurch gekenn- 
zeichnet, daft der Modul N(x) ein Polynom einer Variablen x 
ist. Das Polynom umfaftt eine Surnme von einzelnen Potenzen von 
x, wobei jeder Potenz von x ein Koeffizient zugeordnet ist. 
Der Exponent der. hochsten Potenz von x wird als Grad des Po- 
lynoms bezeichnet. Wenn die Koef f izienten aus dem Korper 
GF(2) sind, so wir d von einem GF(2 n ) -Modul bzw. allgemeiner 

von einer GF (2") -Arithmetik gesprochen. Die GF (2 n ) -Arithmetik 
wird z. B. in der Elliptische-Kurven-Kryptographie verwendet. 
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Ein Polynom f(x) e GF(2) [x] des Grads n-1 wird durch die n 
Koef f izienten a n -i, •*-/ a 0 gegeben, wobei die a± aus der Men- 
ge GF<2) sein mUssen, und wobei a n -i per Definition gleich 1 
ist : 

5 

f (x) = 1 * x 11 " 1 + a n _ 2 * x n ~ 2 + ... + ai * x 1 + a 0 * x° 

Der Korper GF(2 n ) wird durch ein irreduzibles Polynom vom 
10 Grad n und Polynome aus GF(2 n ) des Grads kleiner oder gleich 
n-1 gegeben. 

Die Addition in GF(2 n ) von zw6i Element en, d. h. Polyhomen, 
ist gegeben durch die XOR-Verkntlpf ung ihrer Koef f izientenvek- 
15. tpren der Lange n. 

Die Multiplikation in GF(2 n ) von zwei Elementen, ,d. h. Poly- 
nomen, wird durch Multiplizieren der Polynome uber GF.(2 n ) und 
das anschliefiende Reduzieren des erhaltenen Produkts modulo 
20 dem irreduziblen Polynom N(x) des Grads n erreicht, welches 
den entsprechenden Korper definiert. 

Somit mufi das Produktpolynom, also das Polynom, das sich aus 
der Multiplikation eines ersten Polynoms f (x) mit einem zwei- 
25 ten Polynom g(x) ergibt, einer Polynomdivision mit dem Modiil- 
Polynom N(x) als Teller unterzogen werden, urn die modulare 
Operation durchzuf iihren. Das Ergebnis von f(x) * g(x) mod 
N(x) ist dann das Restpolynom, das sich aus der Polynomdivi- 
sion ergibt. 

30 

Bevor auf verschiedene Arten und Weisen zum eff izienten Aus- 
fuhren der modularen Multiplikation sowohl uber Z/NZ als auch 
tiber GF(2 n ) eingegangen wird, sei darauf hingewiesen, daJJ die 
modulare .Exponentiation sowohl bei Z/NZ als auch bei GF(2 n ) 
35 mittels des bekannten Sguare-and-Multiply-Algorithmus in eine 
Multiplikation zerlegt werden kann. Es sei folgende Gleichung 
zu losen: 
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C(x) = (M(x) ) E mod N(x) . 

Der Square-and-Multiply-Algorithmus basiert darauf, daft der 
5 Exponent E in eine Summe von Zweierpotenzen zerlegt wird: 

Das folgende Beispiel soil dies veranschaulichen. In binarer 
Darstellung soli gelten: 

10 

E .*= 1011. 

Damit gilt folgender Zusammenhang: 

..." * t 

15 C(x) = M(x) ^l*2 3 +0*2 2 +l*2 1 +l*2 0 ) mod N(x) . 
Damit gilt: 

C(x) = (M(x) ) 8 * (M(x) )° * (M(x)) 2 * (M(x))° mod N(x). 

20 

Die oben beschriebenen Gleichungen lauten entsprechend fur 
die Z/NZ-Arithmetik, jedooh mit dem Unterschied, daft statt 
M(x) M zu schreiben 1st, und statt N(x) N zu schreiben ist. 

25 Eine bekannte, effiziente und oft verwendete Moglichkeit, urn 
die modulare Multiplikation zu berechnen, ist in der Technik 
als Montgomery-Mult iplikation bekannt und z. B. im ^Handbook 
of Applied Cryptography " , Menezes, van Oorschot, Vanstone, 
CRC Press, Seiten 600-603, beschrieben. Die Montgomery- 

30 Reduktion ist eine Technik, die eine effiziente Implementati- 
on der modularen Multiplikation erlaubt, ohne daft der klassi- 
sche modulare Reduktionsschritt explizit ausgefuhrt wird. 
Allgemein gesagt wird bei der Montogomery-Reduktion die Divi- 
sionsoperatibn durch einfache Verschiebungsoperationen ausge- 

35 drtickt. 



WO 02/067108 



4 



PCT/EP02/00719 



Mittlerweile ist auch eine Erweiterung der Montgomery- 
Multiplikationsoperation auf den endlichen Korper GF(2 n ) be- 
kannt. Diese Erweiterung ist in ^Montgomery Multiplication in 
5 GF(2*V X / Koc, Azar, Designs, Codes and Cryptography, Bd. 14, 
1998, S. 57-69, beschrieben. t Diese Erweiterung ist ferner 
in „A Scalable and Unified Multiplier Architecture for Finite 
Fields Z/NZ and GF(2 n ) N \ Erkay Savas u. a., Cryptographic 
Hardware and Embedded Systems (CHESS 2000) , S. 281 - 289, 
10 Springer Lecture Notes, beschrieben. 

Na'chteilig an der Montgomery-Multiplication uber Z/NZ oder 
GF ( 2 n ) ist die Tatsache, dafi zwar die hardwaremafiig schlecht 
implement ierbare Divisionsoperation zur modularen Reduktion 
15 durch Verschiebungsoperationen umgangen wird, aber keine 

iook-Ahead-Verfahren oder Vorausschau-Verf ahren eingesetzt. 
werden, urn die modulare Multiplikationsoperation hardwarema- , 
Big zu beschleunigen. ■ \ 

20 Die DE 3631992 C2 offenbart ein Verfahren, bei dem die modu- 
lare Multiplikation uber Z/NZ uriter Verwendung eines Mul- 
tiplikations-Vorausschau-Verfahrens uhd unter Verwendung ei- 
nes Reduktions-Vorausschau-Verfahrens beschleunigt werden 
kann. Das in der DE 3631992 C2 beschriebene Verfahren wird 

25 auch als ZDN-Verf ahren bezeichnet und anhand von Fig. 9 haher 
beschrieben. Nach einem Startschritt 900 des Algorithmus wer-. 
den die globalen Variablen M, C und N initialisiert • Ziel ist 
. es, folgende modulare Multiplikation zu berechnen: 

30 Z = M * C mod N. 

M wird als der Multiplikator bezeichnet, wahrend C als der 
Multiplicand bezeichnet wird. Z ist das Ergebnis der modula- 
ren Multiplikation, wahrend N der Modul ist. 

35 

Hierauf werden verschiedene lokale Variablen initialisiert, 
auf die zunachst nicht naher eingegangen werden braucht. An- 
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schlieiiend werden zwei Vorausschau-Verfahren angewandt. Im 
Multiplikations-Vorausschau-Verfahren GEN_MULT_LA wird unter 
Verwendurig verschiedener Look-Ahead-Regeln ein Multiplikati- 
ons-Verschiebungswert s ? sowie ein Multiplikations- 
5 Vorausschau-Parameter a berechnet (910) . Hierauf wird der ge- 
genwartige Inhalt des Z-Registers einer Links-Verschiebungs- 
Operation um s 2 -Stellen unterzogen (920). 

Im wesentlichen parallel dazu wird ein Reduktions- 
10 Vorausschau-Verfahren GEN_Mod_LA (930) durchgef iihrt, um.einen 
Reduktionsversohiebungswert Sjj und einen Reduktions-Parameter 
b zu berechnen. In einem Schritt 940 wird dann der gegenw§r- 
tige Inhalt des Modul-Registers, also N; um s N . Stellen v6r- 
schoben, um einen verschobenen Modulwert N' zu erzeugen. Die 
15 zentrale Drei-Operanden-Operation des ZDN-Verf ahrens findet 

in einem Schritt 950 statt. Hierbei wird das Zwischenergebnis 
Z' nach dem Schritt 920 zu diem Multiplikanden C, der mit dem 
Multiplikations-Vorausschau-Parameter a multipliziert ist, 
und zu dem verschobenen Modul N', der mit dem Reduktions- 
20 Vorausschau-Parameter b multipliziert ist, addiert. Je nach 
aktueller Situation konnen die Vorausschau-Parameter a und b 
einen Wert von +1, 0 oder -1 haben. 

Ein Fall besteht darin, daft der Multiplikations-Vorausschau- 
25 Parameter a +1 betragt, und dafi der Reduktion-Vorausschau- 
Parameter b -1 betragt , so dafl zu einem verschobenen Zwi- 
schenergebnis Z' der Multiplicand C hinzu addiert wird, und 
der yerschobene Modul N' davon subtrahiert wird. a wird u. a. 
einen Wert gleich 0 haben, wenn das Multiplikations- 
30 Vorausschau-Verfahren mehr als eine voreingestellte Anzahl 

von einzelnen Links-Verschiebungen zulassen wlarde, also wenn 
s z gr6fier als der maximal zulassige Wert von s z ist, der auch 
als k bezeichnet wird. Fur den Fall, dafi a gleich 0 ist, und 
daii Z' aufgrund der vorausgehenden modularen Reduktion, also 
35 der vorausgehenden Subtraktion des verschobenen Moduls noch 

ziemlich klein ist, und insbesondere kleiner als der verscho^-. 
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b<ene Modul N' ist, mufi keine Reduktion stattfinden, so daB 
der Parameter b gleich 0 ist. 

Die Schritte 910 bis 950 werden so lange durchgef tihrt, bis 
samtliche Stellen des Multiplikanden abgearbeitet sind, also 
bis m gleich 0 ist, und bis auch ein Parameter n gleich 0 
1st, welcher angibt, ob der verschobene Modul N " noch grofier 
als der urspriingliche Modul N ist, oder ob trotz der Tatsa- 
che, daB bereits samtliche Stellen des Multiplikanden abgear- 
beitet sind, noch weitere Reduktionsschritte' durch Subtrahie- 
ren des Moduls von Z durchgef uhrt werden mussen. 

Abschliefiend wird noch best N immt, ob Z kleiner als 0 ist. 
Falls dies der Fall ist f mufi; um eirie abschlieBende Reduktion 
zu erreichen, der Modul N zu Z hinzuaddiert werden, darait 
schliefilich ein positives Ergebnis Z der modularen Multipli- 
kation erhalten wird. In einem Schritt 960 ist die modulare 
Multiplikation mittels des ZDN-Verfahrens beendet. 

Der Multiplikations-Verschiebungswert s z sowie der Multipli- 
kations-Parameter a, welche im Schritt 910 durch den Mul- 
tiplikations-Vorausschau-Algorithmus berechnet werden, erge- 
ben sich durch die Topologie des Multiplikators sowie durch 
die eingesetzten Vorausschau-Regeln, die in der DE 3631992 C2 
beschrieben sind, 

Der Reduktions-Verschiebungswert s N und der Reduktions- 
Parameter b werden, wie es ebenfalls in der DE 3631992 C2 be- 
schrieben ist, durch Vergleich des gegenwartigen Inhalts des 
Z-Registers mit einem Wert 2/3 mal N bestimmt. Aufgrund die- 
ses Vergleiches tragt das ZDN-Verf ahren seinen Nameri (ZDN = 
Zwei Drittel N) . 

Das ZDN-Verfahren, wie es in Fig. 9 dargestellt ist, fuhrt 
die modulare Multiplikation auf eine Drei-Operanden-Addition 
(Block 950 in Fig. 9) zuruck, wobei zur Steigerung der Re-- 
chenzeitef fizienz das Multiplikations-Vorausschau-Verf ahren 
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und damit einhergehend das Reduktions-Vorausschau-Verf ahren 
eingesetzt werden. Im Vergleich zur Montgomery-Reduktion fur 
Z/NZ kann daher ein Rechenzeitvorteil um einen Faktor in der 
Grofienordnung von 3 erreicht werden. 

Wie es bereits ausgefiihrt worden ist, arbeitet das in der DE 
3631992 C2 beschriebene ZDN-Verf ahren lediglich fur die Z/NZ- 
Arithmetik. Dasselbe ist nicht fur die GF(2 n ) -Arithmetik ge- 
eignet. Es besteht daher derzeit kein Verfahren, bei dem fur 
die GF (2 n ) -Arithmetik rechenzeitef f iziente Look-Ahead- 
Verf ahren eingesetzt werden konnen, um die modulare Multipli- 
kation iiber GF(2 n ) zu beschleunigen. 

Die Auf gabe der yorliegenden Erf indung besteht darin, ein 
Konzept zum schnellen Durchfuhren einer modularen Multiplika- 
tion uber GF(2 n ) zu schaffen. 

Diese Auf gabe wird durch ein Verf ahren zum modularen Multip- 
lizieren gemaft Patentanspruch 1, durch eine Vorrichtung zum 
modularen Multiplizieren gemaft Patentanspruch 7 oder durch 
ein Rechenwerk gemaft Patentanspruch 11 gelost. 

Der vorliegenden Erf indung liegt die Erkenntnis zugrunde, daft 
eine Beschleunigung der modularen Multiplikation uber GF(2 n ) 
dadurch erreicht werden kann, daft spwohl ein Multiplikati<pns- 
Vorausschau-Verf ahren als auch ein Reduktions-Vorausschau- 
Verf ahren eingesetzt werden. Im Multiplikations-Vorausschau- 
Verf ahren wird ein Multiplikatioris-Verschiebungswert berech- 
net. Im Reduktions-Vorausschau-Verfahren, das vorzugsweise 
parallel zum Multiplikations-Vorausschau-Verf ahren ablauft, 
wird ein Reduktions-Verschiebungswert berechnet, wobei der 
Reduktions-Verschiebungswert gleich der Differenz des Grads 
eines um den Multiplikations-Verschiebungswert verschobenen 
Zwischenergebnis-Polynoms und des Grads des aktuellen Modul- 
Polynoms ist. Wahrend das Zwischenergebnis-Polynom mit der 
Variable, die mit dem Multiplikations-Verschiebungswert po- 
tenziert ist, multipliziert wird, wird das Modul-Polynom mit 
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der Variable, die mit dern Retfuktions-Verschiebungswert poten- 
ziert ist, multipliziert . Damit lafit sich auch fur die 
GF(2 n )-Arithmetik eine Drei-Operanden-Addition forimilieren, 
so dali ein neues Zwischenergebnis-Polynom berechnet werden 
5 kann, indem das um den Multiplikations-Verschiebungswert ver- 
schobene letzte Zwischenergebnis-Polynom mit dem Multiplikan- 
den summiert wird, und indem dann davon das um den Redukti- 
ons-Verschiebungswert verschobene Modul-Polynom subtrahiert 
wird, um ein aktualisiertes Zwischenergebnis-Polynom zu er- 
10 halten. Anschliefiend werden samtlich Schritte wiederholt, je- 
doch nun mit dem aktualisierten Zwischenergebnis-Polynom und 
dem in dem let z ten Schritt verschobenen Modul-Polynom, um 
nacheinander samtliche Partialprodukte auf zusummieren, d. h. 
bis alle Potenzen des Multiplikators abgearbeitet sind. 
15 ' . 

Die Drei-Operanden-Addition vereinfacht sich fur den Fall der 
GF(2 n ) -Arithmetik insbespridere dadurch, dafi die Koef f izienten 
der Potenzen der Variablen x entweder den Wert „0 M oder „1" 
haben konnen. Damit wird sowohl die Addition als auch die 

20 Subtraktion zu einer einfachen XOR-Verkniipf ung, so daft fiir 

ein Rechenwerk, das .lediglich fur die GF (2 n ) -Addition ausge- 
fuhrt ist, als arithmetische Einheit nicht einmal mehr ein 
Addierer benotigt wird, sondern lediglich eine bitweise XOR- 
Verkniipf ung der drei Operanden. 

25 . ' 

Im Falle eines dualen Rechenwerks/ also eines Rechenwerks, 
das sowohl eine modulare Multiplikation in Z/NZ als auch eine 
modulare Multiplikation in GF(2 n ) ausfiihren soli, kann der 
bereits fur das ZDN-Verf ahren vorhandene Drei-Operanden- 
30 Addierer einfach dadurch fur GF (2 n ) -Operationen modifiziert 
werden, daft der Ubertrag fur jedes Bit des Addierers ausge- 
schaltet wird, bzw. nicht berucksichtigt wird, 

Es sei darauf hingewiesen, dafi das erf indungsgemafte Verf ahren 
35 zum Berechnen der modularen Multiplikation in GF(2 n ) eine Se- 
riell-Parallel-Architektur hat. Die Drei-Operanden-Addition 
findet vorzugsweise immer parallel statt, d. h. fur samtliche 
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Bits der Summanden, welche typischerweise eine Breite zwi- 
schen 150 und 1100 Bits haben, wobei dann in einer nachsten, 
serielleri, Iteration des erf indungsgemafien Verfahrens ein 
neues Partialprodukt berechnet wird und in einer - £ olgenden 
parallelen Drei-Operanden-Addition zu dem bereits bestehenden 
Zwischenergebnis hinzuaddiert wird. 

Das erf indungsgemafie Konzept zum Berechnen einer modularen 
Multiplikation ist dahingehend vorteilhaft, dafi es auch fur 
. GF(2 n ) eine maximale Beschleunigung urn einen Faktor in der 
Grofienordnung von zwei im Vergleich zur Montgomery- 
Multiplikation liefert. 

Ein weiterer Vorteil des erf indungsgemafien Konzepts besteht 
darin, dafi nunmehr ein effizientes Verfahren zum Berechnen 
der modularen Multiplikation in GF(2 n ) angegeben ist, so dafi. 
beispielsweise der ECDSA-Algorithmus (ECDSA = Elliptic Curve 
Digital Signature Algorithm) liber GF(2 n ) berechnet werden 
kann. Dieser Algorithmus ist in ,,Public Key Cryptography for 
the Financial Services Industry: The Elliptic Curve D. S , A. ", 
ANSI X9.62 - 1998 beschrieben. 

Es sei darauf hingewiesen, dafi die Elliptische-Kurven- 
Kryptographie im Vergleich zur Kryptographie, die auf modula- 
rer Arithmetik bezuglich einer Gahzzahl basiert, dahingehend 
bevorzugt wird, dafi mit wesentlich kleineren Zahlen ahnliche 
Sicherheitsstandards erreicht werden, Wahrend fur das RSA- 
Verfahren uber Z/NZ mit 1024 Bits breiten Zahlen gute Sicher- 
heitsstandards erreicht werden, genugen hierfur bereits Poly- 
nome uber GF(2), deren Grad im Bereich von 150 bis 300 Poten- 
zen der Variablen x liegt . 

Ein weiterer Vorteil der vorliegenden Erfindung besteht dar- 
in, dafi das erf indungsgemafie Konzept zum Berechnen der modu- 
laren Multiplikation ohne weiteres in bereits bestehende Re- . 
chenwerke fur das ZDN-Verf ahren integriert werden kann, da 
das eigentlichen Langzahlrechenwerk, namlich der Drei- 
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Operanden-Addierer, einfach dadurch auf GF(2 n ) angepaBt wer- 
den kann, dafi der bitweise Ubertrag deaktiviert wird. Ob- 
gleich sich die arithmetischen Einheiten fur den Reduktions- 
Vorausschau-Algorithmus und fur den Multiplikations- 
Vorausschau-Algorithmus fiir GF(2 n ) von den entsprechenden 
Vorrichtungen fur Z/NZ unterscheiden, ist dies fur das Ge- 
samtverhalten des Rechenwerks nicht maBgeblich, da hier Addi- 
tionen, Verschiebungen oder Subtraktiohen mit kleinen Zahlen, 
welche vielleicht nur 8 oder 16 Bit breit sind, so daB die 
Chipf lache fur diese arithmetischen Einheiten, welche auch 
als Steuereinheiten bezeichnet werden, im Vergleich zum Lang- 
zahl-Rechenwerk, also dem Drei-Operanden-Addierer, welcher 
durchaus tiber 2048 Bits breit sein kann (in dualer Ausfuhrung 
fur Z/Ni und GF(2 n )), nicht wesentlich ins Gewicht fallen, 

Ein wfeiterer,. Vorteil des erf indungsgem^Ben Konzepts fur eine 
modulare Multiplikation in GF(2 n ) besteht darin, daB viele 
Operationen im Vergleich zum ZDN-Verf ahren, welches lediglich 
fur die Z/NZ-Arithmetik f unktioniert , vereinfacht werden kon- 
nen. So muB bei. der erf indungsgemaBen GF (2 P ) — Modulb- 
Multiplikation k^in Vergleich mit dem 2/3-fachen des Moduls 
mehr durchgefiihrt werden. Dieser Vergleich kann in GF(2 n ) 
einfach durch den Vergleich des Grads des Zwischenergebnis- 
Polynoms mit dem Grad des Modul-Polynoms ersetzt werden. 
Nachdem der Erwartungswert fur den Multiplikations- 
Verschiebungswert und der Erwartungswert fur d^ri Reduktions- 
Verschiebungswert identisch. sind, sind die beiden Voraus- 
schau-Verf ahren voneinander entkoppelt, so daB das Potential 
besteht, daB die beiden Vorausschau-Verf ahren unabhangig von- 
einander arbeiten, was wiederum Recheiizeitvqrteile mit sich 
bringt . 

Bevorzugte Ausf uhrungsbeispiele der vorliegenden Erfindung 
werden nachf olgend bezugnehmend auf die beiliegenden Zeich- 
nungen detailliert erlautert. Es zeigen: 
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Fig. 1 ein Flufidiagrairan zur Veranschaulichung der modula- 
ren Exponentiation in GF(2 n ); 

Fig. 2 ein Flufidiagrarom auf hoher Ebene des erf indungsge- 
5 > maften Verfahrens; 

Fig. 3 ein Flufidiagramm des Multiplikations-Voraussohau- 
Verfahrens, um den Multiplikations- 
Verschiebungswert zu berechnen;, 

0 

Fig. 4 ein Fiufidiagramm des Reduktions-Vorausschau- 

Verfahrens, um den Reduktion's-Verschiebungswert zu 
berechnen; 

5 Fig. 5 einen Ausschnitt eines Prei-Operanderi-Addierwerks 
fiir die GF(2 n )-Arithmetik oder die Z/NZ-Arithmetik. 

, Fig. is eine detaillierte Darstellung der Carry-Abschalt- 
Funktion;. 

) 

Fig. 7 ein Blockschaltbild eines Z/NZ-GF(2 n ) -Rechenwerks; 

Fig. 8a bis 8c eine schematische Darstellung zur Veranschau- 
lichung der Berechnung des Reduktions- 
Verschiebungswerts; 

Fig. 9 ein Ubersichtdiagramm des ZDN-Verf ahrens zum Durch- 
ftihren einer modularen Multiplikation in Z/NZ. 

Fig. 1 zeigt ein allgemeines Fiufidiagramm zum Zerlegen einer 
modularen Exponentiation 

G(x) = (M(x)) E mod N(x) 

in eine Serie von Multiplikationeri. M(x) und N(x) sind Poly- 
nome der Variablen x. E 1st ein Exponent in binarer Darstel- 
lung, der eine Bitlange L(E) aufweist. 
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Der Algorithmus besteht im wesentlichen darin, dafi untersucht 
wird, ob ein Bit des Exponenten E, also E(e) gleich list. 
Falls dies der Fall ist, wird der gegenwartige Inhalt des Er- 
gebnis-Registers mit M(x) multipliziert , wobei unmittelbar 
anschlieiiend die Modulo-Reduktion mit dem Modul-Polynom N(x) 
durchgefuhrt wird. Ist dagegen ein Bit des Exponenten gleich 
0, so wird keine Multiplikation mit M(x) durchgefuhrt. In 
beiden Fallen wird der gegenwartige Inhalt des Registers C(x) 
mit sich selbst multipliziert, also quadriert, woraufhin die 
Modulo-Reduktioh stattfeLndet. Hierauf wird der Index filr die 
Stelle des Exponenten, also e, um 1 inkrementiert, woraufhin 
die Schleife wieder durchlaufen wird. Dies wird so lange 
durchgefuhrt, bis alle Stellen des Exponenten E abgearbeitet 
sind, also bis e gleich L (E) ist. Dann ist der Algorithmus 
beendet und in dem Register fur C(x) steht das Ergebnis der 
modularen Exponentiation. Die zentrale Operation der modula- 
ren Exponentiation ist somit die modulare Multiplikation ei- 
nes Multiplikanden C (x) mit einem Multiplikator M (x) . 

Fig. 2 zeigt ein Blockdiagramm auf hoher Ebene des erf in- 
dungsgemafien Verfahrens zum modularen Multiplizieren eines 
Multiplikanden mit einem Multiplikator. pas Verfahren beginnt 
mit eihem Start-Block 200. In einem Block 202 werden die glo- 
balen Variablen M, C und N initialisiert , welche Polynome der 
Variables x sind. In einem Block 204 wird dann das Zwischen- 
ergebnis-Polynom Z auf 0 initialisiert. In einem Block 206 
wird die Lauf variable m auf L (M) initialisiert. L(M) gibt die . 
Lange in Bit des Multiplikators M an. L(M) entspricht damit 
dem Grad des Multiplikator-Polynoms . In einem Block 208 wird 
ferner ei'ne Lauf variable n auf 0 initialisiert. Auf die Be- 
deutung der Lauf variablen n wird spSter eingegangen. An- 
schlieiiend werden vorzugsweise parallel ein Multiplikatiqns- 
Vorausschau-Verfahren 210 und ein Reduktions-Vorausschau- 
Verfahren 212 ausgefuhrt. Das Multiplikations-Vorausschau- 
Verfahren dient dazu, einen Multiplikations-Verschiebungswert 
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s 2 sowie vorzugsweise einen Multiplikations- Vorausschau- 
Parameter a zu berechnen. 

Das Reduktions-Vorausschau-Verfahren dient dazu, einen Reduk 
tions-Verschiebungswert s N und vorzugsweise auch einen Reduk- 
tions-Vorausschau-Parameter b zu berechnen. 

In einem Block 214 wird ein verschobenes Zwischenergebnis- 
Polynom Z' berechnet, indem das aktuelle Zwisclienergebnis- 
Polynom Z mit der Variablen x, die. mit dem Multiplikations- 
Verschiebungs-Wert s z potenziert ist, multipliziert wird. 

Vorzugsweise parallel dazu wird in einem Block 216 ein ver- 
schobenes Modul-Polynom N' berechnet, indem das aktuelle Mo- 
dul-Polynom N mit der Variablen x, die mit dem Reduktions- 
Verschiebungs-Wert s N potenziert ist, multipliziert wird. 

In einem Block 218 wird dann die sogeriannten Drei-Operanden- 
Addition , ausgef iihrt,' die die zentrale Operation des . erf in- 
dungsgemaJien Multiplikationsverf ahrens ist. In dem Block 218 
wird ein aktualisiertes Zwischenergebnis-Polynom Z bexechnet, 
welches durch Addition des Zwischenergebnis-Polynoms Z" mit 
dem Multiplikanden C multipliziert mit dem Multiplikations- 
Vorausschau-Parameter a und dem verschobenen Modul-Polynom 1ST 
multipliziert mit dem Reduktions-Vorausschau-Parameter b er- 
halten wird. 

In einem Block 220 wird uberpriift, ob die Laufvariable m 
gleich 0 ist, und ob gleichzeitig die Laufvariable n glelich 0 
ist. Wenn die Laufvariable m gleich 0 ist, bedeutet dies, daft 
alle Bits des Multiplikators M(x) abgearbeitet sind, Wenn die 
Laufvariable n gleich 0 ist, bedeutet dies, dafi das verscho- 
bene Modul-Polynom N * wieder dem ursprunglichen Polynom : N aus 
dem Block 202 entspricht. 

Sind diese beiden Voraussetzungen erftillt, wird der Block 220 
also mit JA beantwortet, so kann das Ergebnis ! der modularen 
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Multiplikation, also Z (x) , in einem Block 222 ausgegeben wer- 
den. Das Verfahren zur modularen Multiplikation 1st dann mit 
einem Block 224 beendet. 

Wird der Block 220 dagegen mit „ISIEIN" beantwortet, so bedeu- 
tet dies, dafi entweder noch Bits des Multiplikatprs vorhanden 
sind, die nicht abgearbeitet worden sind, oder daft das Modul- 
polynom N", das in dem Register fur das Modul-Polynom gehal- 
ten wird, noch grower als das urspriingliche in dem Block 202 
definierte Modul-Polynom 1st. In anderen Worten bedeutet 
dies, da£ der Grad .des aktuellen in dem Register fur das Mo- 
dul-Polynom gehaltenen Polynoms grofier ist als der Grad des ' 
urspriinglichen Modul-Polynoihs N, das im Block 202 definiert 
worden ist. Wenn dies der Fall ist, wird wieder zuriickge- 
sprungen, wie es durch eirie Ruckkopplung 226 in Fig. 2 ge- 
zeigt ist, urn erneut sowohl das Multiplikations-Vorausschau- 
Verfahren als auch das Reduktions-Vorausschau-Verfahren aus- 
zuf uhren. Im Gegensatz zum ersten Schritt, bei dem das 
Register aufgrund der Initialisierung im Block 204 auf 0 ge- 
setzt war, steht nun im Z-Register das Eirgebnis der Drei- 
Operanden-Operation 218 des vorausgehenden Schritts. 

Genauso steht in dem Modul-Register N nun nicht mehr das ur- 
spriingliche im Block 202 definierte Modul N, sondern das urn 
den Reduktiohs-Verschiebungswert s N verschobene Modul-Polynom 
N'. Der ursprurigliche Modul N (x) , der in Block 202 definiert 
worden ist, wird somit nur wahrend des ersten Iterations- 
schritts in dem N-Register stehen, wobei wahrend der Iterati- 
on (Iterationsschleife 226) in dem Modul-Register immer das 
verschobene Modul-Polynom steht, also ein Modul-Polynom, das 
mit der Variablen x, die mit einem Reduktions- 
Verschiebungswert s N potenziert ist, multipliziert worden 
ist. 

Im nachf olgenden wird auf Fig. 3 eingegangen, welche eine de- 
tailliertere Darstellung des Multiplikations-Vorausschau- 
Verfahrens, also des Blocks 210 von Fig, 2, darstellt. Das 



WO02/067108 



15 



PCT/EP02/00719 



Multiplikations-Vorausschau-Verfahren startet in einem Block 
300 . Es erhalt als globale Variablen den Parameter m aus Fig, 
2, eine weitere Lauf variable cur k , auf die spater noch einge- 
gangen wird, sowie den Multiplikator M. Dies ist durch einen 
Block 302 in Fig. 3 dargestellt. In einem Block 304 wird dann 
der Multiplikations-Verschiebungswert s z auf 0 initialisiert. 
Daruber hinaus wird der Multiplikations-Vorausschau-Parameter 
a, auf den spater noch eingegangen wird, auf einen Wert 
gleich 1 initialisiert (Block 306) . 

Hierauf wird in einem Block 308 untersucht, bb das gegenwar- 
tig zur Debatte stehende Bit, bzw. der Koeffizierit der aktu- 
ell verarbeiteten Potenz von x gleich 0 ist oder nicht. Wird 
in dem Block 308 bestimmt, dafi das aktuell verarbeitete Bit 
des Multiplikators ungleich 0 ist, also wird die Entscheidiing 
des Blocks 308 mit JA . beantwortet, so wird die Lauf variable m 
in einem Block 310 um 1 inkrementiert. Daruber hinaus wird 
der Multipiikations-^Verschiebungswert s 2 ebehfalis in einem 
Block 312 um 1 inkrementiert* In einem Block 314 werden dann 
die Ergebnisparameter des Multiplikations-Vorausschau- 
Verfahrens, also der Multiplikations-Vorausschau-Parameter a 
und der Multiplikations-Verschiebungswert s z , ausgegeben. 

Wird die Frage im Block 308 mit NEIN beantwortet, so wird zu 
einem weiteren Entscheidungsblock 316 gesprungen. Hier wird 
bestimmt, ob die Lauf variable m noch kleiner als die Lange, 
also der Grad, des Multiplikators M ist, Daruber hinaus wird 
untersucht, ob der gegenwartige Multiplikations- 
Verschiebungswert s 2 kleiner bzw. ungleich dem Parameter cur* 
ist. Werden beide Fragen mit JA beantwortet, so wird zu einem 
Block 318 gesprungen, um den Parameter m um 1 zu inkrementie- 
ren. Daruber hinaus wird in einem Block 320 auch der Mul- 
tiplikations-Verschiebungs-Wert s 2 um 1 inkrementiert . \ Daran 
ansctilieilend wird das nachste Bit des Multiplikators M unter- 
sucht, was in Fig. 3 durch einen Rtickkopplungszweig 322 dar- 
gestellt ist. 
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Wird dagegen in dem Block 316 bestimmt, daft eine der beiden 
Fragen im Block . 31 6 mit NEIN beantwortet wird, so wird zu ei- 
nem Block 324, gesprungen, in dem der Multiplikations- 
Vorausschau-Parameter .a auf 0 gesetzt wird. Somit 1st zu se- 
hen, daft der Multiplikations-Vorausschau-Parameter a, der in 
dem Block 314 ausgegeben wird, entweder 0 oder 1 sein kann. 
Das Multiplikations-Vorausschau-Verfahren ist dann in einem 
Block 32 6 beendet. 

Im nachfolgenden wird auf die Funktionsweise des Multiplika- 
tions-Vorausschau-Parameters eingegangen. Bei dem. Multiplika- 
tions-Vorausschau-Verfahren, das erf indungsgemafi eingesetzt 
wird, handelt es sich urn eineil Look-Ahead-Algorithmus far die 
GF(2 n ) -Multiplikatio'n mit variablen Verschiebungen iiber Nul- 
len, wobei die Anzahl der variablen Verschiebungen nichtjbe- 
liebig groft werden kann, sondern hochstens gleich dem Wert 
CUR k sein kann. „CUR k " steht ftfr ^Current k x \ bedeutet also 
„aktueller Wert des Parameters k" . 

Im nachfolgenden wird beispielhaft ein Multiplikatorpolynom 
mit den Koef f izienten ,,10001" untersucht. Zunachst wird das 
hochstwertige Bit desselben untersucht . Dieses Bit hat den 
Wert „1 M ; so daft der Block 308 mit JA beantwortet wird, was 
dazu fiihrt, daft der Parameter m urn 1 inkrementiert wird, und 
daft auch der Multiplikations-Verschiebungswert s 2 ebenf alls 
urn 1 erhoht wird. Der Multiplikations-Vorausschau-Algorithmus 
ist damit bereits beendet, da das untersuchte Bit des Multi- 
plikators den Wert ,,1" hatte, derart, daft in der Drei- 
Operanden-Addition der Multiplikand C hinzuaddiert werden 
muft . - 

In einem nachsten Durchgang des Multiplikatioris-Vorausschau- 
Algorithmus wird hunmehr das zweite Bit untersucht. Dieses 
Bit hat einen Wert von 0, so daft der Block 308 mit NEIN be- 
antwortet wird. Nachdem das untersuchte Bit gerade das zweite 
Bit des Multiplikands ist, und nachdem der Multiplikations- 
Verschiebungswert s 2 aufgrund der Initialisierung im Block 
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304 nunmehr 0 ist, wird der Block 316 mit JA beantwortet, so 
daft die Lauf variable m um 1 inkrementiert wird (318), und e- 
berifalls der Multiplikations-fVerschiebungswert um 1 inkremen- 
tiert wird (320) . Dann wird wieder tiber den Zweig 322 in den 
5 Block 308 eingetreten. Da das nachste Bit ebenfalls den Wert 
„0" hat, wird dieser Block erneut mit NEIN beantwortet, und 
der Block 316 ist wieder aktuell. m ist immer noch kleiner 
als L (M) , so daB diese Frage positiv beantwortet wird- s 2 hat 
gerade den Wert 1. Wenn angenommen wird, daB CUR* auf dem 

10 -Wert 2 steht, so wird auch diese Frage positiv beantwortet, 
so daB erneut in den Blocken 318 und 320 Inkrementierungen 
■ von m und,s z stattfiriden* s z hat nunmehr, nach dem Durchlauf 
des Blocks 320, den Wert 2. Nun wird uber den Zweig 320 er^ 
neut zum B^ock 308 gesprungen, um f estzustellen, ob das aktu- 

15 elle nachste Bit eine 1 Oder eine 0 ist, Erneut wird fur das 
vorliegende Beispiel der Block 308 mit NEIN beantwortet, da 
hier das dritte Bit in der Folge von Nullen untersucht wird. 
Der Block 316 wird nunmehr jedoch mit NEIN beantwortet, da s z 
2 betragt und die Variable CUR* ebenfalls atlf 2 steht. Dies 

20 bedeutet, daB das Multiplxkations-Vorausschau-Verf ahren nun- 
mehr eigentlich abgebrochen wird/ obwohl auch. die dritte 0 
dazu verwendet werden konnte, um eine erneut e Verschiebung zu 
bewirken. s z muB jedoch nach oben hin begrenzt werden, da 
sorist ein unendlich langes Z -Register vorgesehen werden muB- 

25 ■ te, um das verschobene Zwischenergebnis-Polynom Z', das im 
Schritt 214 von Fig. 2 berechnet wird, speichern zu konnen. 
C0R k wird somit abhangig von der aktuellen Bewegung des Z- 
Registers eingestellt, um zwar einen m6glichst groBen Ver- 
schiebungswert s z zuzulassen, welcher ja zum Geschwindig- 

30 keitsgewinn beitragt, um jedoch gleichzeitig mit einer be- 

grenzten Registerlange fur das verschobene Zwischenergebnis- 
Polynom Z' auszukommen. Die Drei-Operand^n-Operation im Block 
218 von Fig. 2 degeneriert somit zu einer Zwei-Operanden- 
Operation, da der Parameter a in dem Block 324 von Fig. 3 auf 

35 0 gesetzt worden ist. 
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Wie es aus Fig. 3 zu sehen ist, fand in dem Zweig des Blocks 
324 keine weitere Inkrementierung von m statt, so dafi bei ei- 
nem erneuten Durchlauf . des Multiplikations-Vorausschau- 
Algorithmus nunmehr das dritte 0-Bit in der Folge im Block 
5 308 untersucht wird. Da dieses Bit den Wert 0 hat, wird Block 
308 wieder mit NEIN beantwortet, so dafi der Multiplikations- 
Verschiebungswert s z urn 1 inkrementiert wird, und dafl auch 
die Laufvariable im Block 318 inkrementiert wird. Nunmehr 
wird das letzte Bit des Multiplikators, also die „1" unter- 
sucht. Da dieses Bit ungleich 0 ist, wird Block 308 mit JA 
beantwortet, die Laufvariable wird ein letztes Mai inkremen- 
tiert, und der Multiplikations-Verschiebungswert s z wird e- 
benfalls noch eirtmal inkrementiert, bis der Multiplikatipns- 
Vorausschau-Algorithmus^fur diese Iteration beendet ist 
(Block 326) . Nunmehr sind alle Bits des Multiplikanden unter- 
sucht, so daJ3 die Iterationsschleife 226 von Fig. 2 beendet 
wird, da im Block 220 untersucht wird, ob m gleich 0 ist, was 
fur das vorliegende Beispiel nunmehr zutrifft. 

Im nachfolgenden wird auf Fig. 4 eingegangen, urn das Redukti- 
ons-Vorausschau-Verfahrert zu beschreiben, das in Fig. 2 mit 
dem Bezugszeichen 212 bezeichnet ist. In einem Block 400 wird 
das Reduktions-Vorausschau-Verfahren begonnen. In einem Block 
402 werden yerschiedene globale Variablen definiert, von de- 
nen insbesondere N und Z hervorzuheben sind. N ist der Regis- 
terwert fxir das Modul-Polynom des vorausgehenden Schrittes, 
wahrend Z das aktualisierte Zwischenergebnis-Polynom eben- 
falls des vorausgehenden Schritts ist. k ist der maximale. 
Verschiebungswert fur Z, CUR k ist der gegenwartige Vefschie- 
bungswert fur Z und MAX stellt die Lange, d. h. die Anzahl 
von Bits, eines Overflow-Buffers dar, welcher dazu da ist, 
die nach links' verschobenen Polynome N und Z zu speichern. 
Wenn Block 216 von Fig. 2 betrachtet wird, so ist zu sehen, 
dafi, wenn ein beliebig grofier Reduktions-Verschiebungswert s N 
vorgesehen wird, ebenfalls wie im analogen Fall des 
Multiplikations-Vorausschau-Verf ahrens ein beliebig grofies 
Register fur N vorgesehen werden mufite. Dies ist jedoch aus 
Platz- und Ef f izienzgrunden nicht wiinschenswert , so dafi durch 
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Ef f izienzgrUnden nicht wiinschenswert, so daJi durch den Para- 
meter MAX auch berucksichtigt wird, dafi das Modul-Polynom 
ebehfalls nur um eine bestimmte Anzahl von Bits nach links, 
also nach oben, verschoben werden darf . 

5 

In einem Block 404 wird dann ein Parameter s±, auf den nach- 
folgend eingegahgen wird, auf 0 initialisiert. Hierauf wird 
in einem Block 40 6 f iestgestellt , ob der Parameter n, welcher 
die Anzahl von Bits von N darstellt, die in dem Overflow- 
10; Puffer sind f gleich 0 ist, Oder ob s ± gleich k ist. Wird 

Block 406 mit JA. beantwortet, so wird zu einem Block 408 ge- 
' sprungen, in. dem der Reduktions-Vorausschau-Parameter b auf 0 
gesetzt wird. Wird dagegen die Frage im Block 406 mit NEIN 
beantwortet, so wird der Parameter n um 1 inkrementiert 
15 (Block 410) . Gleichzeitig wird der Parameter s± um 1 inkre- 
mentiert, wie es durch einen Block 412 dargestellt ist. An- 
schlieliend findet in einem Block 414 der zentrale Vergleich 
statt, durch den bestimmt werden soil, um wieviel das . Modul- 
Polynom verschoben werden mufi, damit in der Drei-Operanden- 
20 Operation (Block 218 von Fig. 2) eine modulare Reduktion des 
Zwischenergebnis-Polynoms stattf indet, Hierzu wird der Hilfs- 
Reduktions-Verschiebungswert s ± so bestimmt, dafi der Grad des 
Polynoms, der sich aus der Multiplikation von x, wobei x mit 
si potenziert ist, multipliziert mit dem aktualisierten Zwi- 
25 schenergebnis-Polynom des vfcrausgehenden Schritts ergibt, 

.gleich dem Grad des aktuellen Modul- Polynoms ist. Dies wird 
schrittweise, wie es durch eine Iterationsschleif e 416 ange- 
deutet ist, so lange durchgef uhrt , bis entweder im Block 406 
ein JA-Ergebnis erhalten wird, oder bis im Block 414 ein JA- 
30 Ergebnis erhalten wird. Wird der Block 414 mit JA beantwor- 
tet, so wird in einem Block 418 der Reduktions-Vorausschau- 
Parameter b zu 1 gesetzt. Dann wird in einem Block. 420 ein 
neuer Parameter n aus. der Differenz des Multiplikations- 
Verschiebungswerts s z und dem aktuellen Wert n berechnet. Der 
35 eigentliche Reduktions-Verschiebungswert S N wird dann in ei- 
nem Block 422 berechnet, indem die Differenz zwischen dem 
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Multiplikations-Verschiebungswert s z und dem Hilfs- 
Reduktions-Verschiebungswert Si gebildet wird. 

Es sei darauf hingewiesen, dafi der Multiplikations- . 
Verschiebungswert s z durch den eigentlich parallel ablauf en- 
den Multiplikations-Voraussehau-Algorithmus geliefert wird, 
wie es durch einen Pfell 230 in Fig. 2 angedeutet wird. Ohne 
Einfuhrung des Hilf s-Reduktions-Parameters s± ware eigentlich 
nur eine serielle Ausfuhrung des Multiplikations-Vorausschau-^ 
Verfahrens und daran anschliefiend des Reduktions-Vorausschau- 
Verfahirens moglich, was aus Ef f izienzgriinden nicht wunschens- 
wert 1st. Daher wird der Hilf s-Reduktions-Parameter si ver- 
wendet, durch den die eigentliehe Berechnung des Reduktions- 
Verschiebungswe,rts s N bereits so weit vorbereitet werden 
kann, dafi die aufwehdige Iterationsschleif e (Zweig 416 in 
Fig. 4) tatsachlich parallel zum Multiplikations-Vorausschau- 
Algorithmus abgearbeitet werden kann, wahrend die eigentliehe 
.Berechnung des Reduktions-Verschiebungswerts S N durch eine 
schnelle Dif f erenzbildung zwischen zwei Kurzzahlen s z und s± ■ 
durchgeftihrt werden kann. Der Ablauf stellt sich somit fol- 
gendermalien dar. Parallel werden s z und si berechnet. Dann 
wird s z uber den Zweig 230 von Fig. 2, welcher auch in Fig. 4 
eingezeichnet ist, von dem Multiplikations-Vorausschau- 
Algorithmus zu dem Reduktions-Vorausschau-Algorithmus gelie- 
fert r so dafi unmittelbar im nachsten Zyklus auch bereits der 
Reduktions-Verschiebungswert s N zur Verfiigung steht. Hierauf 
wird spater bezugnehmend auf die Fig. 8a bis 8c naher einge- 
gangen. 

Nach dem Block 422 wird in einem Block 424 bestimmt, ob n 
grofier als MAX minus k ist. Wird diese Frage mit JA beantwor- 
tet, so wird in einem Block 42 6 ein neues cur k berechnet. 
Wird die Frage des Blocks 424 mit NEIN beantwortet, so wird 
in einem Block 428 cur k gleich k gesetzt. In einem Block 430 
werden dann die Ergebniswerte des Reduktions-Vorausschau- 
Verfahrens, also b und s N ausgegeben, so daB das Reduktions- 
Vor.ausschau-Verfahren in einem Block 432 beendet ist. 
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Beziiglich einer detaillierten Erklarung des Muitiplikations- 
Vorausschau-Parameters a und des Reduktions-Vorausschau- 
Parameters b sowie der Speicher-Management^Parameter n, MAX, 
k und cur k wird auf die DE 3631992 C2 Bezug genommen. Im On- 
terschied zum ZDN-Verf ahren fur Z/NZ, bei dem die Parameter 
und b Werte +1, 0 und -1 einnehmen konnten, konnen die ent- 
sprechendeh Parameter a, b im erf indungsgemaBen Verfahren le 
diglich die Werte 0 und 1 einnehmen. Die? Vprausschau- 
Parameter a und b werden ftir die modulare Multiplication ge- 
maJJ der vorliegenden Erfindung lediglich optional benotigt, 
namlich dann, wenn nicht beliebig grofie Speicherpiatze f iir N 
und Z zur V^rf ugung sind. Generell kann das erfindungsgemaUe 
Verfahren jedoch unter der Voraussetzung, daB beliebig grolie 
Register zur Verf ugung stehen, ohrie weiteres ausgef iihrt wer- 
den, in diesem Fall wird das Multiplikations-Vorausschau- 
Verfahren niemals abgebrochen, sondern iinmer so lange durch- 
gefiihrt, bis wieder eine ,>1" im Multiplikator gefunden wird. 
Bis dahin hat, wenn auf Block 214 von Fig. 2 Bezug genommen 
wird, s 2 einen bestimmten moglicherweise groJJen Wert, so daB 
das verschdbene Zwischenergebnis-Polynom Z' einen moglicher^- 
weise sehr grofien Wert annehmen kann. Im Block 218 wird dann, 
aufgrund der Tatsache, daB eine 1 im Multiplikator gefunden 
wurde, der Multiplikand zu dem verschobenen Zwischenergebnis 
Polynom Z' hinzuaddiert . 

Ein wesentliches Merkmal ist jedoch, daB gleichzeitig mit je 
dem Multiplikationsschritt auch eine modulare Reduktion 
stattfindet, damit insgesamt die Zahlenwerte in ertraglichen 
Grenzen gehalten werden konnen. 

Hierzu wird gemafi der vorliegenden Erfindung der Reduktions- 
Verschiebungs-Wert s N so gewahlt, daB der Grad des verschobe- 
nen Modul-Polynoms gleich dem Grad des aktuellen Zwischener- 
gebnis -Pol ynoms ist. Wenn dann das verschobene Modul-Polynom 
von der Summe aus Z'(x) und C(x) subtrahiert wird, wird das 
aktualisierte Zwischenergebnis Z tiblicherweise iinmer kleiner 
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als Z' sein, so daft eine Reciuktion erreicht worcien ist. Dar- 
aus ist zu sehen, daft das aktualisierte Zwischenergebnis- 
Polynom Z, das durch den Schritt 218 yon Fig- 2 berechnet 
wird, nicht zwingend bezuglich des ursprunglichen Modul- 
Polynoms aus dem Block 202 reduziert ist, sohdern viel,leicht 
wahrend der gesamten Iteration nur bezuglich eines nach links 
verschobenen Modul-Polynoms, d. h. eines Modul-Poynoms mit 
einem hoheren Grad, reduziert ist. Dies muft jedoch nicht 
zwingend so sein. Sollte dieser Fall jedoch auftreten, so 
wird durch den Schritt 220, in dem festgestellt wird, ob n 
gleich 0 ist, d. h. ob N Bits im Overflow-Puffer hat oder 
nicht, erreicht, daft weitere Subtraktioneh des Moduls von dem 
aktualisierten Zwischenergebnis stattfinden, so dali dann Z 
nach and nach in die ursprungliche Restklasse zurtickgef uhrt 
wird, Wenn namlich n gleich 0 ist, bedeutet dies, daft keine 
Bits von N itiehr in dem Overflow- Puffer sind, was wiederum.be- 
deutet, daft das letztendlich erhaltehe verschobene Modul- 
Polynpm gleich dem ursprunglichen Modul-Polynom aus Block 2 02 
ist. 

Daher ist zu sehen, daft das erf indungsgemafte Verfahren zum 
modularen Multiplizieren grundsatzlich auch ohne Vorausschau- 
Parameter a und b ausgefuhrt werden kpnnte, wobei in diesem 
Fall jedoch - beliebige Multiplikatoren vorausgesetzt - theo- 
retisch unbegrenzte Register fur Z und N erforderlich sein 
wurden. 

Falls fur Z und N eine Speicherbegrenzung vorgesehen wird, 
also wenn die Vorausschau-Parameter a und b 0 sein konnen, so 
bedeutet ein Multiplikations-Vorausschau-Parameter v a gleich 
0, daft kein Multiplikand zum verschobenen Z' hinzuaddiert 
wird. Analog dazu bedeutet ein Reduktions-Vorausschau- 
Parameter b gleich 0, daft das verschobene Modul-Polynom gro- 
fter als das verschobene Zwischenergebnis-Polynom Z' ist, wes- 
halb keine Reduktion erforderlich ist, so daft die Module 
Subtraktion ebenfalls ausf alien kann. In einem solchen Fall 
wurde die Drei-Operanden-Operation vollstandig degeneriereri. 
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An dieser S telle sei auch darauf hingewiesen, dafi im Fall ei 
nes begrenzten Buffers fur die Register Z und N darauf zu 
achten ist, dafi N mindestens k Bits von seinem Home-MSB weg- 
gehalten wird, so lange die Variable m noch nicht den Wert 
Null erreicht hat. 

Es sei ferner darauf hingewiesen, dafi im Falle einer GF (2 n ) - 
Arithmetik, also wenn die Koef f izienten des Polynoms nur 0 
oder 1 sein konnen, die Additionsoperaticpn der Subtrakt ions- 
operation entspricht und allgemein als XOR-Verkniipfung ausge 
ftihrt werden kann. Wenn jedoch Koef f izienten des Polynoms in 
einem anderen Zahlensystem zugelassen wiirden, beispielsweise 
in einem Oktal-System oder einem Dezimal-System, so wird die 
Subtraktion selbstverstandlich nicht der Addition entspre- 
chen. 

In nachf olgenden wird auf die Fig. 8a bis 8c eingegangeii, um 
die Berechnung des Reduktions-Verschiebtingswerts Sz unter 
Verwendung des Hilf s-Reduktions-Verschiebungswerts s± darzu- 
stellen. In Fig. 8a sind ein Zwischenergebnis-Polynom Z und 
ein Modul-Polynom N dargestellt. Lediglich beispielhaft hat 
das Zwischenergebnis-Polynom den Grad 4, also vier Bits, wah^ 
rend das Modul-Polynom den Grad 9, also neun Bits hat. Nun- 
mehr sei angenoinmen, dafi in dem Block 214 von Fig. 2 ein ver- 
schobenes Zwischenergebnis-Polynom Z'' berechnet wird, wast 
durch Multiplizieren der Variablen x, die mit s z potenziert 
ist/ erreicht werden kann. So sei angenommen, dafi im Multi- 
plikator 8 Nullen waren, was dazu fuhrt, dafi der Multiplika- 
tions-Verschiebungswert s z gleich 8 war. Um eine modulare Re- 
duktion zu erreichen, mufi der Modul N in die Grofienordnung 
des verschobenen Zwischenergebnis-Polynoms Z' kommen. Erfin- 
dungsgemafi soil das Modul-Polynom N so weit verschoben wer- 
den, dafi der Grad des verschobenen Zwischenergebnis-Polynoms 
Z' und der Grad des verschobenen Modul -Polynoms N gleich 
sind. Wie es aus Fig. 8b zu sehen ist, ist hierzu ein Reduk- 
tions-Verschiebungswert von s N gleich 3 erf orderlich. 
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Aus Fig. 8b ist ebenfalls zu sehen, dafi die Ermittlung von s N 
eigentlich erst durchgefahrt werden kann, wenn s 2 berechnet 
worden ist, d. h. dafi eine parallele Ausfuhrung der Blocke 
210 und 212 von Fig. 2, wie es fur die vorliegende Erfindung 
bevorzugt wird, nicht moglich ist. Aus diesem Grund wird der 
Hilfs-Verschiebungs-Parameter s± eingefuhrt. Wie es aus Fig. 
8a zu sehen ist, ist der Hilf s-Verschiebungs-Parameter si 
gleich der. Differenz des Grads des Zwischenergebnis-Polynoms 
Z und des Modul-Polynoms N. Vorteilhaft an s ± ist, dafi dieser 
Wert berechnet werden kann, ohne das s z des aktuellen 
Schritts zu kennen. 

Aus Fig. 8c ist zu sehen, dafi s z immer gleich der Siimme aus 
si und s N ist. s N hangt somit immer mit s z und Sj. derart zusam- 
men, dafi folgende Gleichung gilt: 

3m i - S Z ~ Si . 

Das zeitaufwendige iterative Verfahren zum Bestimmen von s N 
kann somit zerlegt werden in ein zeitauf wendiges iteratives 
Verfahren zum Bestimmen von s x (Schleife 416) und eine 
schnelle Dif f erenz-Operation (Block 422 von Fig. 4). Damit 
ist eine nahezu parallele Ausfuhrung der beiden Vorausschau- 
Verfahren moglich, wobei die einzige serielle Komponente dar- 
in besteht, dafi vor dem Berechnen des Blocks 422 (Fig. 4) der 
tatsachliche Wert von s 2 durch den Multiplikations- 
Vorausschau-Algorithmus bereits berechnet und geliefert wor- 
den ist (Pfeil 230 in Fig. 2) . 

Wie es bereits ausgefiihrt worden . ist 1 , besteht ein wesentli- 
cher Vorteil des erf indungsgeraafien Konzepts zur feerechnung 
der modularen Multiplikation uber GF(2 n ) darin, dafi es in das 
bereits bestehende Langzahl-Rechenwerk fur das ZDN-Verf ahren 
integriert werden kann. Fig. 5 zeigt einen Ausschnitt eines 
erf indungsgemafi angepassten 3-Operanden-Rechenwerks zum 
Durchftihren der Drei-Operanden-Addition mit Z, aC und bN. 
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In Fig. 5 sind drei untereinander verschaltete Bit-Slices 
[i] , [i-1], [i-2] dargestellt. Jeder Bit-Slice umfasst einen 
Drei-Bit-Zahler 500 und einem Volladdierer 510, um ausgangs- 
seitig ein Bit Z[i], Z[i-1] bzw. Z[i-2] des aktualisierten 
Zwischenergebnis-Polynoms zu erhalten. Der Volladdierer hat 
ferner einen Carry-Ausgang (Carry = Obertrag) fur den Carry- 
Eingang des nachsthoheren Voll-Addierers . Werden beispiels- 
weise Polynome mit dem Grad 200 verarbeitet, so mussen 200 
Bit-Slice-Addierer von Fig, 5 parallel geschaltet werden, 

Um eine Bit-Slice von. Fig. 5 fur GF(2 n ) zu. modif izieren, mufi, 
wie es in Fig, 5 gezeigt ist, eifi UND-Gatter 520 zwischen den 
oberen Ausgang des 3-Bit-Zahlers und den zweituntersten Ein- 
gang des Volladdierers der nachsthoheren Stufe eingefugt wer- 
den. Wird eine 0 in den Enable-Eingang 530 eihgespeist, so 
wird der Wert x immer 0 sein. Dann degeneriert die Funktioh. 
des Volladdierers 510 immer zur Addition von y und 0. Im Fal- 
Ie von Z/NZ wird der Enable-Eingang des UND-Gatters dagegen 
mit einer „1" beauf schlagt , so dafi das UND-Gatter ohne weite- 
re Wirkung 1st. 

Bei GF(2 n ) ist der Ausgang des UND-Gatters somit gleich 0. 
Bei Z/NZ wird X dagegen benotigt, und der Ausgang des UND- 
Gatters kann ungleich 0 sein. Das Enable wird somit durch ein 
UND-Gatter realisiert. Die Addition im Volladdierer wird da- 
gegen fur den Fall von GF(2 n ) , also eine 0 am Enable-Eingang 
530/ trivial. 

Fig. 6zeigt die Situation am UND-Gatter 520. Das Rechenwerk, 
das in Fig. 5 teilweise dargestellt ist, wirkt als normaler 
Addierer, wenn das Enable-Signal SC = 1 ist. Es wirkt dagegen 
als XOR-Schaltung, wenn das Enable-Signal SC = 0 ist. 

Fig. 7 zeigt ein schematisches Blockschaltbild eines Rechen- 
werks fttr Z/NZ und GF(2 n ) , Das Rechenwerk gruppiert sich um 
die Langzahl-Arithmetik-Einheit 700, welche die bereits be- 
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schriebene Drei-Operanden-Operation entweder fiir Z/NZ oder 
GF(2 n ) durchfuhrt. 

Das Rechenwerk umfalit ferner eirie Z/NZ— Steuereinheit 710 so— 
wie eine GF (2 n ) -Steuereinheit 720 sowie eine Modusauswahl- 
Einrichtung 730. Soil das Rechenwerk Operatiorien Modulo einer 
ganzen Zahl berechnen, so wird die : Modus-Auswahl 730 die a- 
rithmetische Einheit 700 derart ansteuern, dafe eine echte Ad- 
ditionsoperation durchgefuhrt wird, wobei die arithmetische 
Einheit mit der Z/NZ-Steuereinheit 710 eingangsseitig und 
ausgangsseitig verbuhden ist. Soli das Rechenwerk dagegen ei- 
ne GF(2 n ) -Arithmetik betreiben, so wird die Modus-Auswahl 730 
die arithmetische Einheit 70(3 so aktiviereri, dal5 statt einer 
Addition eine XOR-Operation durchgefuhrt wird, und dafi Ein- 
gang und Aus gang der arithmetischen Einheit mit der GF (2 n ) - 
Steuereinheit verbunden sind. 

Es sind somit keine getrennten arithmetischen Einheiten mehr 
erf orderlich, um sowphl eine Ganzzahl-Modulo-Arithmetik als 
auch eine Polynom-ModulopArithmetik in einem Rechenwerk un- 
terzubringen.. 

Es sei darauf hingewiesen, dali aufgrund der Tatsache, dafi die 
Drei-Operanden-Operation fiir samtliche Bits parallel durchge- 
fuhrt wird, der meiste Chip-Platz fiir die arithmetische Ein- 
heit 700 verbraucht wird, wShrend die weiteren kleineren Be- 
rechnungen, die in den Steuereinheiten 710 und 720 auszufuh- 
ren sind, mit sehr sehir viel kiirzeren Zahlen zu bewerkstelli- 
gen sind, so dali dieselben bitf lachenmafiig nicht besonders 
ins Gewicht fallen. 

Im Gegensatz zu einem Rechenwerk, das sowohl fur die Ganz- 
zahl-Arithmetik als auch die Polynom-Arithmetik ein eigenes 
Rechenwerk benotigte, erlaubt das erf indungsgemafie Konzept 
zum Berechnen der modularen Multiplikation daher eine Chip- 
f lachenreduktion yon nahezu 50%. Insbesondere fur Smart-Cards 
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ftthrt diese deutliche Chipf lacheneinspariing zu erheblichen 
Wettbewerbsvorteilen. 
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412 Inkrementieren von. s± 
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Zwischenergebnis-Polynoms . 

416 Iterationsschleif e 
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720 GF(2 n )-Steuereinheit 
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Patentanspruche 

1. Verfahren zum modulareri Multiplizieren eines Multiplikan- 
den (C) mit einem Multiplikator (M) unter Verwendung eines 
Moduls (N) , wobei der Multiplikand (C) , der Multiplikator (M) 
und der Modul (N j Polynome einer Variablen (x) sind, mit foi- 
, genden Schritten: 

(a) Durchftihren (210) eines Multiplikations-Vorausschau- 
Verfahrens, urn einen Multiplikatioris-Verschiebungswert (s z ) 
zu erhalten, wobei bei einer Potenz des Multiplikators, die 
im Multiplikator-Polynom nicht vorhanden ist, der TYIultiplika- 
tions-Verschiebungswert s^ inkrementiert wird; 

(b) Multiplizieren (214) der Variable (x) potenziert mit dem 
Multiplikations-Verschiebungs-Wert (s z ) mit einem Zwischener- 
gebnis-Polynom (Z) , urn ein verschobenes Zwischenergebnis- 
Polynom (Z\) zu erhalten; 

(c) Durchfuhren eines Reduktions-Vorausschau-Verf ahrens 
(212) , urn einen Reduktions-Verschiebungswert (s N ) zu erhal- 
ten, wobei der Reduktions-Verschiebungswert (s N ) gleich der 
Differenz des Grads des verschobenen Zwischenergebriis- 
Polynoms (Z) und des Grads des Modul -Polynonis (N) ist; 

(d) Multiplizieren (216) der Variable (x) potenziert mit dem 
Reduktions-Verschiebungswert (s N ) mit dem Modul-Polynom (N) , 
um ein verschobenes Modul-Polynom (N ' ) zu erhalten; 

(e) Summieren (218) des verschobenen Zwischenergebnis- 
Polynoms (Z'j und des Multiplikanden (C) und Subtrahieren des 
verschobenen Modul-Polynoms (1ST), um ein aktualisiertes Zwi- 
schenergebnis-Polynom (Z) zu erhalten; und 

(f) Wiederholen (226) der Schritte (a) bis (e) , bis samtliche 
Potenzen des Multiplikators (M) abgearbeitet sind, wobei bei 
der Wiederholung der Schritte (a) bis (e) 
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im Schritt (d) als Zwischenergebnis-Polynom (Z) das aktuaii- 
sierte Zwischenergebnis-Polynom (Z) des vorausgehenden 
Schritt s (e) verwehdet wird, und 

im Schritt (c) als Modul-Polynom (N) das verschobene Modul- 
Polynom des vorausgehenden Schritts (d) verwendet wird. 

2. Verfahren nach Arispruch 1, bei dem das Multiplizieren 
(210) im Schritt (d) durch Verschieben der Zwischenergebnis- 
Polynpms (Z) urn eine Anzahl vbh Stellen gleich dem Multipii-^ 
kationsverschiebungswert (s z ) ausgefuhrt wird, und 

bei dem das Multiplizieren (216) im Schritt (d) durch Ver- 
schieben des Modul-Polynoms (M) urn eine Anzahl von Stellen 
gleich dem Reduktions-Verschiebungs-Wert (s N ) ausgefuhrt 
wird. 

3. Verfahren nach Anspruch 1 Oder 2, bei dem Koef f izienteh 
der Polynome nur den Wert „0" oder „l xx haben kfinnen, und 

bei dem das Summieren und Subtrahieren (218) im Schritt (e) 
durch bitweises XOR-Verkriupf en des Zwischenergebnis-Polynoms 
(Z') r des Multiplikanden (C) und des verschobenen Modul- 
Polynoms (N ' ) ausgefuhrt wird. 

4. Verfahren nach einem der vorhergehenden Anspriiche, bei dem 
der Schritt des Reduktions-Vorausschau-Verf ahrens (212) , um 
einen Reduktions-Verschiebungs-Wert (s N ) zu erhalten, folgen- 
de Schritte aufweist: 

Bestimmen (414) eines Hilf s-Ver?chiebungs-Werts (s±) so, dafi 
der Grad des Modulpolynoms (N) und der Grad des aktualisier- 
teh Zwischenergebnis-Polynoms (Z) des vorausgehenden Schritts 
(e) multipliziert mit der Variablen, die mit dem Hilfs- 
Verschiebungswert (si) potenziert ist, gleich sind, und 
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Bilden (422) der Dif ferenz des Multiplikations- 
Verschiebungswerts (s z ) und des Hilf s-Verschiebungswerts 
(si) , um den Reduktions-Verschiebungswert (s N ) zu erhalten. 

5, Verfahten nach Anspruch 4, bei dem der Schritt des Durch- 
fuhrens des Multiplikations-Vorausschau-Verf ahrens (210) und 
der Schritt des Bestimmens (414) des Hilf 3-Verschiebungs- 
Werts (si) parallel zueinander ausgef iihrt werden . 

6. Verf ahren nach einem der vorhergehenden Anspruche, 

bei dem der Multiplikations-Verschiebungswert (s z ) auf einen 
Maximal-Multiplikations-Verschiebungswert (k) begrenzt ist, 

bei dem der Schritt des Durchfuhrens (210) des Multiplikati- 
ons-Verschieburigs-Verf ahrens folgende Schritte aufweist: 

falls der Multiplikations-Verschiebungs-Wert gleich dem 
Maximal-Multiplikations-Verschiebungswert (k) ist, 

Gleichsetzeh des Multiplikations-Verschiebungswerts (s z ) 
mit dem Maxima 1-Verschieburigs-Wert (k) ; 

Erzeugen (306, 324) eines Multiplikations-Vorausschau- 
Parameters (a) mit einem vorbestimmten Wert, und 

bei dem der Schritt des Summierens folgenden Schritt auf- 
weist: 

falls der Multiplikations-Vorausschau-Parameter (a) den 
vorbestimmten Wert hat, 

Summieren nur des vorbestimmten Zwischenergebnis-Polynoms 
(Z') und des verschobenen Modul-Polynoms (N')l 

7. Vorrichtung ziim modularen Multiplizieren eines Multipli- 
kanden (C) mit einem Multiplikator (M) unter Verwendung eines 
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Moduls (N) , wobei der Multiplikand (C) , der Multiplikator (M) 
und der Modul (N) Polynome einer Variablen (x) sind, mit fol- 
genden Merkmalen: 

(a) einer Einrichtung zum Durchfuhren (210) eines Multiplika- 
tions^-Vorausschau-Verfahrens, urn einen Multiplikations- 
Verschiebungswert (s z ) zu erhalten, wobei bei einer Potenz 
des Multiplikators, die im Multiplikator-Polynom nicht vor- 
handen ist, der Multiplikations-Verschiebungswert s z inkre- 
mentiert wird; 

(b) einer Einrichtung zum Multiplizieren (214) der Variable 
(x) , die mit dem ' Multiprikation$-Verschiebungs-Wert (s 2 ) po- 
tenziert ist, mit einem Zwischenergebnis-Polynom (Z) ■ , um ein 
verschobenes Zwischenergebnis-Polynom (Z ' ) zu erhalten; 

(c) einer Einrichtung zum Durchfuhren eines Reduktions- 
Vorausschau-Verf ahrens (212) , um einen Reduktions- 
Verschiebungswert (s N ) zu erhalten, wobei der Reduktions- 
Verschiebungswert (s N ) gleich der Different des Grads des 
verschobenen Zwischenergebnis-Polynoms (Z) und des Grads des 
Modul-Polynoms (N) 1st; 

(d) einer Einrichtung zum Multiplizieren (216) der Variable 
fx) , die mit dem Reduktions^-Verschiebungswert (s N ) potenziert 

ist, und des Modul-Polynoms (N) ,' um ein verschobenes ModuJ- 

Polynom (N') zu erhalten; 

(e) einer Einrichtung zuiia Summieren (218) des verschobenen 
Zwischenergebnis-Polynoms (Z*) und des Multiplikahden (C) und 
Subtrahieren des verschobenen Modul-Polynoms (N'), um ein ak- 
tualisiertes Zwischenergebnis-Polynom (Z) zu erhalten; und 

(f) einer Einrichtung zum wiederholten Ansteuern (226) der 
Einrichtungen (a) bis (e) , bis samtliche Potenzen des Multi- 
plikators (M) abgearbeitet sind, wobei bei einer wiederholten 
Ansteuerung der Einrichtungen (a) bis (e) 
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die Einrichtung zum Multiplizieren (214) , urn ein verscho- 
benes Zwischenergebnis-Polynom zu erhalten, angeordnet 
ist, um als Zwischenergebnis-Polynom (Z) das aktualisier- 
te Zwischenergebnis-Polynom (Z) aus der vorausgehenderi . 
Ansteuerung der Einrichtung zum Summieren (218) zu ver- 
wenden, und 

die Einrichtung zum Durchfuhren eines Reduktions- 
Vorausschau-Verfahrens , (212) angeordnet . ist, um bei einer 
wiederholten Ansteuerung als Modul-Polynom (N) das ver- 
schobene Modul-Polynom aas der vorausgehenden Ansteuerung 
der Einrichtung zum Multiplizieren (216) , um ein verscho- 
benes Modul-Polynom zu erhalten , zu verwenden, 

8; Vorrichtung nach Anspruch 7, bei der die Einrichtung (214) 
zum Multiplizieren, um ein verschobeiies Zwischenergebnis- 
Polynom (Z") zu erhalten, und die Einrichtung (216) zum Mul- 
tiplizieren, um ein verschobenes Modul-Polynom (1ST) zu erhal- 
ten, als steuerbare Schieberegister ausgefiihrt sind, um ab- 
hangig vom Muitiplikations-Verschiebungs-Wert (s 2 ) oder vom 
Reduktions-Verschiebungs-Wert (s N ) eine Verschiebung des Re- 
gisterinhalts um eine entsprechende Anzahl von Stellen durch- 
zufuhren. 

9. Vorrichtung nach Anspruch 7. oder 8, bei der die Einrich- 
tung (218) zum Summieren und zum Subtrahieren als bitweise 
XOR-Verknupfung des Zwischenergebhis-Polynoms (Z'), des Mul- 
tiplikanden (C) und des verschobenen Modul-Polynoms (N * ) aus- 
gefiihrt ist. 

10. Vorrichtung nach Anspruch 7 oder 8, bei der die Einrich- 
tung (218) zum Summieren und Subtrahieren folgende Merkmale 
aufweist: 

einen Zahler (500) mit drei Eingangsleitungen und zwei Aus- 
gangsleitungen, wobei an eine erste Eingangsleitung ein Bit 
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des Zwischenergebnis-Polynoms (Z) anlegbar ist, wobei an eine 
zweite Eingangsleitung ein Bit des Multiplikanden (C) anleg- 
bar ist, und wobei an eine dritte Eingangsleitung ein Bit des 
verschobenen Modul-Polynoms (N ' ) anlegbar ist, 

5 

einen Volladdierer . (510) mit drei Eingangen und einem Aus- 
. gang/ wobei ein niederwertiger Ausgang des Zahlers (500) mit 
einer hoherwertigen Eingangsleitung des. Volladdierers (510) 
verbunden ist; 

10 

einen Schalter (520) , der zwischen. einer hSherWertigen Aus- 
gangsleitung des Zahlers (500) und einem mittleren Eingang 
eines Volladdierers (510) fur ein hoherwertiges Bit geschal- 
tet ist; und 

15 

eine Steuereinrichtung (530) zum Offnen des Schalters (520), 
wenn Polynome zu verarbeiten sind. 

11. Rechenwerk zum Multiplizieren eines Multiplikanden- 
20 Polynoms rait einem Multiplikator-Polynom unter Verwendung ei- 
nes Modul-Polynoms, wobei das Multiplikanden-Polynom, das 
Multiplikator-Polynom und das Modul-Polynom Polynome einer 
Variablen sind, oder, wahlweise, zum Multiplizieren einer, 
Multiplikanden-Ganzzahl mit einer Multiplikator-Ganzzahl un- 
25 ter Verwendung einer Modul-Ganzzahl, mit folgenden Merkmalen: 

(a) einer Einrichtung zum Durchfuhren (210) eines Multiplika- 
tions-Vorausschau-Verf ahrens, um einen Multiplikations- 
Verschiebungswert (s z ) zu erhalten, wobei bei einer Potenz 

30 des Multiplikators, die im Multiplikator-Polynom nicht vor- 

handen ist, der Multiplikations-Verschiebungswert (s 2 ) inkre- 
mentiert wird; • 

(b) einer Einrichtung zum Multiplizieren (214) der Variable, 
35 die mit dem Multiplikations-Verschiebungs-Wert (s z ) poten- 

ziert ist, mit einem Zwischenergebnis-Polynom, um ein ver- 
schobenes Zwischenergebnis-Polynom zu erhalten; 



WO 02/067108 



36 



PCT/EP02/00719 



(c) einer Einrichtung zum Durchfuhren eines Reduktions- 
Vorausschau-Verfahrens (212) , vim einen Reduktions- 
Verschiebungswert (s N ) zu erhalten, wobei der Reduktiorts- 
Verschiebungswert (s N ) gleich der Differenz des Grads des 
verschdbenen Zwischenergebnis-Polynoms und des Grads des Mo- 
dul- Polynoms ist; 

(d) einer Einrichtung zum Multiplizieren (216) der Variable 
(x) , die mit dem Reduktions-Verschiebungswert (s N ) potenziert 

'1st, mit dem Modul-Polynom, um ein verschobenes Modul-Polynom 
zu erhalten; 

(e) einer Einrichtung (710) zum Durchfuhren eines Multiplika- 
tions-Vorausschau-Verf ahrens und eines Reduktions- 
Vorausschau-Verfahrens fur Ganzzahl-Operanden, um ein Ganz- 
zahl-Zwischenergebnis und einen verschbbenen Ganzzahl-Modul 
zu erhalten; 

(f) einem . Drei-Operanden-Addierer ; (700) mit einer Obertrag- 
Abschalt-Einrichtung (730) zum Kombinieren entweder der Ganz- 
zahl-Operanden oder des Polynom-Zwischenergebnisses, des ver- 
schobenen Modul- Polynoms und des Polynom-Multiplikanden; 

(g) einer Steuereinrichtung (730) zum Steuern der Ubertrag- 
Abschalt-Einrichtung, damit der Ubertrag deaktiviert ist, 
wehn Polynom-Operanden verarbeitet werden, und damit der 0- 
bertrag aktiviert; ist, wenn Ganzzahl-Operanden verarbeitet 
werden. 

12. Rechenwerk nach.Anspruch.il, bei dem der Drei-Operanden- 
Addierer mit einer Obertrag-Abschalt-Einrichtung folgende 
Merkmale aufweist: 

einen Zahler (500) mit drei Eingangsleitungen und zwei Aus- 
gangsleitungen, wobei an eine erste Eingangsleitung ein Bit 
des Zwischenergebnis-Polynoms, anlegbar ist, wobei an eine 



WO02/G67168 



37 



PCT/EP02/00719 



zweite Eingangsleitung ein Bit des Multiplikanden (C) anleg- 
b^r ist, und wobei an eine dritte Eingangsleitung ein Bit des 
verschobenen Modul-Polynoms anlegbar ist, 

5 einen Volladdierer (510) mit drei Eingangen und einem Aus- 
gang, wobei ein niederwertiger Ausgang des Zahlers (500) mit 
einer hoherwertigen Eingangsleitung des Volladdierers (510) 
verbunden ist; 

10 einen Schalter (520), der zwischen einer hdherwertigen Aus- 
gangsleitung. des Zahlers (500) und eihen mittleren Eingang 
eines Volladdierers (510) fur ein nachsthoheres Bit geschal- 
tret ist; und 

15 eine Steuereinrichtung (530) zum Offnen des Schalters (520), 
wenn Polynome zu verarbeiten sind. 

13. Rechenwerk nach Anspruch 12, bei dem eine Mehrzahl von 
Drei-Operanden-Addierern vorhanden ist, wobei die Anzahl der 
20 vorhandenen Drfci-Operanden-Addierer grower oder gleich der 
Anzahl von Stellen der Modul-Ganzzahl Oder der Polynom- 
Ganzzahl ist. 
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